Inicio > Mis eListas > infohackers > Mensajes

 Índice de Mensajes 
 Mensajes 86 al 105 
AsuntoAutor
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
informativos.info Infohack
 << 20 ant. | 20 sig. >>
 
Infohackers.org
Página principal    Mensajes | Enviar Mensaje | Ficheros | Datos | Encuestas | Eventos | Mis Preferencias

Mostrando mensaje 168     < Anterior | Siguiente >
Responder a este mensaje
Asunto:[boletín_informativos] informativos.info #156
Fecha:Domingo, 19 de Diciembre, 2004  20:15:55 (+0100)
Autor:infohackers <infohackers @...........org>

Mensaje

 

Editado por AIH: www.infohackers.org

Boletín informativos.info

4.746 subscriptores

Boletín número 156

Hacktivismo y seguridad

19 de Diciembre de 2004


Sumario
 

Nota de redacción: Hasta el año que viene
 


Dada la coincidencia este año de las fiestas de Navidad y Año Nuevo con el fin de semana, hemos decidido suspender la publicación de este boletín hasta el año que viene. Os deseamos unas felices fiestas y un prospero 2005. Nos vemos de nuevo el día 9 de Enero de 2005.
 


Opinión: Tiempo de recuento
 


Llegaron ya, como todos los años, las fechas navideñas. La llegada del invierno, el final de un año, la oscuridad de las largas noches, el reencuentro con la familia; todo invita a sentarse un momento, dejar a un lado el arrollador ritmo del día a día y parar a reflexionar sobre lo que fue este periodo y lo que debemos plantearnos para el que viene. Nos permite apartarnos un poco, establecer una distancia con la rutina diaria y ver nuestra vida desde otra perspectiva diferente y, normalmente, mas objetiva.

En la AIH este año ha sido un año de cambios. Esta asociación nació como el proyecto casi individual de una persona. Pero, poco a poco, fue creciendo en socios y en la implicación de estos. Lamentablemente, quien estaba al frente no supo responder a la confianza que, contra viento y marea, y en contra de todos los ataques externos que por doquier llegaban, los socios depositamos en él. Y ya no sólo se equivocó, sino que, ante la tesitura de reconocer sus errores, se empecino en intentar imponer su "verdad". Todo el mundo tiene derecho a expresarse, pero si lo que dice es falso, y los hechos incontestables así lo demuestran, tiene que atenerse a las consecuencias.

No se si podré expresaros la tristeza que, personalmente, me embargo en aquellos días de enero, cuando los hechos se agolpaban en mi correo, y los datos me demostraban que aquel en el que había confiado nos había engañado a todos los socios. Pero la vida sigue, y aunque aquella persona de vez en cuando sigue intentando falsear la realidad, escrito esta lo que fue y, afortunadamente, el Ministerio de la Verdad orwelliano ya nunca será posible en los tiempos de Internet. Por mi parte, le deseo que tenga suerte en sus nuevos proyectos y ojalá que no repita en ellos los errores que cometió en este.

También este año ha sido para mí un año de un cambio profundo. Es por los primeros días de febrero cuando me hice cargo de la coordinación de este boletín. Mi primera intención, tras comentarlo con miembros de la nueva junta directiva de la AIH, fue renovar su contenido y hacerlo mas atractivo para todos los lectores. Hasta entonces, un articulo de opinión y un resumen de prensa, con noticias copiadas de otros medios, era la aportación de la AIH a los suscriptores. Creímos entonces que era necesario aportar algo más de nuestra parte. Por lo tanto, poco a poco, fuimos cambiando. El articulo de opinión se mantuvo, pero se añadieron artículos técnicos, un resumen de noticias mas sintético que permite de un vistazo ver lo que ha pasado en la semana y la sección del correo del lector, donde vuestras preguntas y comentarios nos aportan visiones externas de lo que pedís a este boletín.

Estamos satisfechos por lo logrado. Más de 4700 lectores semanales es una cifra nada despreciable, pero no por satisfechos tenemos la pretensión de acomodarnos. Muchas ideas nos rondan la cabeza, como nuevas series de artículos técnicos, secciones nuevas y multitud de ideas. De hecho, nos frena mucho la necesidad de mantener un boletín que tenga un tamaño adecuado para que sea fácil de enviar por correo. Pero os prometemos que no dejaremos de renovarnos.

También tenemos mucho trabajo para hacer en nuestra Web. Como muchos recordareis, antes teníamos una Web basada en PHPNuke, muy amplia y quizás con demasiadas secciones y, sobre todo, difícil de mantener. No es ningún secreto que PHPNuke tiene la triste y merecida fama de ser de los portales con mas vulnerabilidades y parches de los de código abierto. Si bien es cierto que, en nuestro caso, desde que optamos por dejar los hosting externos y alojar nosotros mismos la página, el portal no ha caído ante un ataque, como tantas veces nos había pasado cuando lo teníamos en un sitio externo, también hay que decir que esto fue gracias a las innumerables horas que el entonces webmaster, Polgara, dedicó a mantener en perfectas condiciones de seguridad el sistema. Creo que nunca le podremos estar suficientemente agradecidos. Por ello, cambiamos la Web a otro sistema, más sólido y pensado de origen pensando en la seguridad, con muchos menos parches y cuidados necesarios. Sin embargo, todavía nos queda mucho para hacer en ella. Unos foros funcionales y un área de descarga efectiva son nuestros próximos proyectos. Esperamos tenerlos pronto en línea.

En fin, que este ha sido el año del cambio. Mucho ha variado la AIH desde hace un año, y mucho nos queda por andar. Nos gustaría que nos siguieseis acompañando todos los domingos, y esperamos hacernos dignos de vuestra confianza.

Por mi parte, y a titulo personal, solo me queda agradecer su esfuerzo a todos los socios y no socios que, de una forma u otra, han colaborado en este boletín. A los Irlanta, Iching, Iridium, Dark-Warrior, Polgara, Belyt, Daemon3i, Crow, T@o, Franaru, Kaskade, Don, Garablaster, Woden y tantos otros que se me quedan en el tintero, a los que nos habéis escrito al correo del lector para hacernos llegar vuestras preguntas y opiniones y, como no, a todos vosotros, lectores, mis más expresivas gracias por este magnifico año de colaboración.

Dado que como anunciábamos más arriba, este es el último boletín de este año, aprovecho la ocasión para desearos de corazón un 2005 lleno de proyectos cumplidos y unas fiestas en compañía de vuestros seres más queridos.
 

Luisma.
Miembro de la AIH.

Licencia de Creative Commons
Esta obra está bajo una licencia de Creative Commons.

   

Seguridad en capas: Reglas de IDS
 


La forma que tiene un IDS de identificar un intento de intrusión en nuestros sistemas o nuestra red, es mediante las reglas. Las reglas permiten definir comportamientos que pueden ser susceptibles de considerarse ataques o, al menos, reflejar un uso incorrecto de los recursos. Cada IDS tiene su propia forma de definir las reglas que usa para detectar los ataques, pero nosotros vamos a usar las empleadas por snort, uno de los más difundidos IDS de código abierto.

En primer lugar, vamos a describir un tipo de configuración primaria del IDS que son lo que podríamos llamar módulos. Consisten de partes del IDS que analizan cierto tipo de comportamiento. En snort son denominados preprocessors y que, según reza el manual de snort, son una forma de permitir que usuarios y programadores añadan funcionalidades al IDS, como un tipo de plug-ins. Vamos a observar como se configura uno de los más habituales, portscan detector, destinado a reflejar los intentos de obtener información por escaneo de puertos.

Para configurar portscan detector, debemos incluir en el snort.conf una línea con esta sintaxis:

preprocessor portscan: 1.2.3.4/24 5 7 /var/log/portscan.log

donde 1.2.3.4/24 es el segmento de red que queremos monitorizar, 5 es el número de diferentes puertos necesarios para disparar la alarma, 7 el número de segundos en los que se tiene que producir estos accesos y /var/log/portscan.log el archivo donde guardaremos registrados los intentos de acceso. En el manual de snort vienen multitud de estos preprocessors que están en la distribución habitual de snort, y muchos más pueden ser descargados de la Red.

Las reglas de inspección de paquetes de snort se guardan en unos ficheros, separados normalmente por protocolo a vigilar, y que son llamados desde el final de snort.conf mediante sentencias include:

include $RULE_PATH/web-iis.rules

Si abrimos un fichero de reglas cualquiera, podemos ver líneas de este tipo:

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS as_web.exe access"; flow:to_server,established; uricontent:"/as_web.exe"; nocase; reference:bugtraq,4670; classtype:web-application-activity; sid:1753; rev:2;)

Una simple inspección a la regla nos da una idea de como está estructurada:

alert El tipo de acción a realizar. Estas acciones se definen en snort.conf

tcp El tipo de conexión

$EXTERNAL_NET any El origen del paquete. Las variables se definen también en el snort.conf, haciendo sencillo el cambiar la configuración para adaptarla a nuestra red.

$HTTP_SERVERS $HTTP_PORTS  El destino del paquete

Dentro de los paréntesis colocamos los argumentos. Los más habituales se refieren al contenido (en este caso, uicontent se refiere al contenido de la URL con la que se hace la petición al servidor), buscando una firma de ataque (como es, en este caso, una llamada al ejecutable as_web.exe). También es normal definir un mensaje (msg) para que nos sirva de referencia sobre el tipo de ataque, así como información adicional, como es en este caso la referencia de bugtraq, que nos pueda dar más pistas de por donde va el ataque.

La creación de reglas de IDS es todo un arte, y requiere mucho tiempo de pruebas para confirmar que la regla creada es adecuada para nuestros propósitos y no nos da falsos positivos (detecta como ataques eventos que no lo son) o falsos negativos (deja pasar sin avisar ataques que si lo son).

La mejor forma de empezar es usar las reglas que vienen por defecto con snort e ir modificándolas de acuerdo con nuestras necesidades, siempre poco a poco y anotando los cambios. Es interesante que las reglas nuevas se incluyan en un fichero aparte (que habrá que dar de alta en snort.conf) para poder actualizar las originales sin perder los cambios.

Existe un apartado dentro del manual de snort dedicado únicamente a las reglas, que es una excelente referencia para crear las mismas. Es interesante darle un vistazo, tanto para poder crear alguna regla específica como para entender las ya existentes.

Luisma
Miembro de la AIH

Licencia de Creative Commons
Esta obra está bajo una licencia de Creative Commons.

   

Resumen de noticias de la semana
 

Opera+KDE=Ejecución de comandos

Se ha descubierto un fallo en el navegador Opera cuando corre bajo el entorno de ventanas KDE en GNU/Linux.

Zafi.D: otra felicitación envenenada

Se ha informado de la expansión incontrolada de la versión D del virus Zafi. En esta ocasión va disfrazado de felicitación navideña.

Cinco parches de Microsoft en Diciembre

Microsoft ha liberado este martes, según su costumbre, cinco parches para sendos problemas con una severidad "importante", según la empresa de Redmond

Nuevo fallo del Internet Explorer

Sigue la racha de fallos en Internet Explorer. Esta vez se trata de un fallo en el control ActiveX DHTML Edit, que puede llevar a cross-site scripting.

Siete vulnerabilidades importantes en PHP

Se han descubierto hasta un total de siete vulnerabilidades importantes en otras tantas funciones de PHP, que ponen en riesgo la seguridad de multitud de servicios web basados en este lenguaje

ANUNCIO DE SEGURIDAD DE DEBIAN: xfree86

Actualización de seguridad en el paquete: **xfree86, puede provocar la escalada de privilegios

 

   

El correo del lector
 


Esta semana no tenemos mensajes vuestros. Os recordamos que esta sección está a vuestra disposición para vuestros comentarios y consultas sobre hacktivismo y seguridad informática tratados en este boletín. Os animamos a escribirnos a el_lector@infohackers.net.


 


 

Las opiniones vertidas pertenecen a sus autores y la AIH no se identifica necesariamente con ellas.
Los derechos de los artículos pertenecen al autor. Para reproducirlos, es necesario ponerse en contacto con el mismo. Desde la AIH animamos al uso de licencias libres tipo CreativeCommons, pero es decisión personal de cada autor el tipo de licencia que use.
La maquetación, logotipos y nombre son propiedad de la Asociación para la Información de Hackers. Todos los derechos reservados.
Los nombres de productos y marcas registrados son propiedad de sus respectivos dueños.


Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net

Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.
 


Algunos de los cientos de artículos en venta o subasta en eGrupos.net
 
  • Autos de Formula 1 en escala 1/43 ( 30 EUR) 
     
  • Unidad zip Iomega externa 250 Mb ( 65 EUR) 
     
  • Moneda exótica, cambio de milenio año 2000 ( 10 EUR) 
     ¿Tienes algo que deseas vender? ¿O comprar? ¿Quieres ver tu anuncio aquí, gratis? 
    ¡ Visita hoy mismo EGRUPOS.NET !

     






    [Adjunto no mostrado: 6/ (application/octet-stream) ]
    [Adjunto no mostrado: 5/ (application/octet-stream) ]
    [Adjunto no mostrado: 3/ (application/octet-stream) ]

    [Adjunto no mostrado: 4/ (application/octet-stream) ]
    [Adjunto no mostrado: 2/ (application/octet-stream) ]
    [Adjunto no mostrado: 1/ (application/octet-stream) ]